VEDI ANCHE Comunicato stampa del 10 marzo 2026

[doc. web n. 10229203]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 81 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Le istanze pervenute all’attenzione dell’Autorità.

Sono pervenute a questa Autorità diverse istanze aventi ad oggetto il trattamento dei dati personali inesatti e non aggiornati di clienti, posto in essere da Acea Energia S.p.A. (di seguito anche “Società”), nell’ambito della fornitura di energia elettrica e gas nel mercato libero, mediante la conclusione di contratti non richiesti.

In particolare, i reclamanti hanno lamentato di aver appreso dell’instaurazione del rapporto di somministrazione, solo a seguito del recapito, da parte di Acea Energia S.p.A., di comunicazioni attestanti l’avvenuta attivazione della fornitura di energia o di note recanti solleciti di pagamento, asserendo di non aver mai avuto alcun contatto, né personale né a distanza, con la predetta Società.

Gli istanti hanno rappresentato che, dall’esame della relativa documentazione, è emersa la presenza di dati personali inesatti (es. e-mail, indirizzo di fornitura, numero di telefono, estremi del documento di riconoscimento, ecc.), nonché di sottoscrizioni apocrife.

Le istanze trasmesse all’Autorità hanno, inoltre, evidenziato le rilevanti difficoltà e i notevoli disagi sopportati dai predetti clienti a causa delle attivazioni non richieste subite.

Primi tra tutti quelli inerenti alla necessità di avere accesso alla documentazione contrattuale, nonché quelli relativi al tempo perso e ai costi affrontati (sia in relazione alle maggiori tariffe sopportate, sia in ordine alla necessità di incaricare un legale) per avviare le azioni amministrative e giudiziarie previste dalla legge, a tutela del consumatore (quali, ad esempio, la presentazione di istanze di accesso alla documentazione contrattuale; l’inoltro di reclami al fornitore; l’avvio della procedura di ripristino presso l’Autorità di regolazione per energia, reti e ambiente; l’eventuale presentazione di una denuncia penale; ecc.).

2. L’attività istruttoria.

L’Autorità, in virtù delle molteplici istanze presentate, ha ritenuto di procedere alla riunione dei singoli procedimenti sopra richiamati, al fine di effettuare un esame organico delle questioni ad essi sottese; ciò anche nell’ottica di avviare accertamenti ispettivi in loco, volti a verificare, al di là dei singoli casi, l’adeguatezza delle misure complessivamente adottate dalla Società rispetto al trattamento dei dati personali dei clienti nella fase di contrattualizzazione per il tramite dei canali “porta a porta”, “shop”, “negozi WindTre” e “full web”.

È stata pertanto effettuata un’attività ispettiva presso la Società l’8 e 9 gennaio 2024 e sono stati successivamente acquisiti ulteriori elementi, in ragione della documentazione integrativa, trasmessa, da Acea Energia S.p.A., il 9 febbraio 2024, a scioglimento delle riserve formulate nel corso delle verifiche.

Le valutazioni di seguito riportate tengono altresì conto del contenuto delle note inviate dalla Società, il 31 luglio 2024 e il 31 gennaio 2025, in riscontro a una richiesta di informazioni dell’Autorità del 4 luglio 2024 e del 23 dicembre 2024.

Nel corso del procedimento, in relazione ai profili evidenziati in premessa, è emerso quanto riportato di seguito.

2.1. Il trattamento dei dati personali della clientela per finalità di contrattualizzazione delle forniture di energia.

Acea Energia S.p.A. è una società che opera, in ambito nazionale, nel settore della vendita a clienti finali di energia elettrica e gas. “Il numero di clienti “persone fisiche” con punti di fornitura attivi a dicembre 2023 con [la Società], nel mercato libero è di 504.066 (corrispondente a 760.811 punti di fornitura)” (v. verbale del 8 gennaio 2024, pag. 3).

Le attività di contrattualizzazione della clientela sono effettuate per il tramite dei seguenti canali:

“«push»: ove il contatto con il cliente avviene su input della Società (lo stesso ricomprende l’attività door to door e quella di teleselling);

«pull»: qualora il contatto con la società sia una iniziativa del cliente. Tale canale riguarda: a) punti fisici (sportello via Ostiense monobrand; negozi shop che possono essere monobrand o pluribrand; negozi WindTre); b) canale web mediante il sito internet della Società; c) chat; d) call center inbound” (v. verbale del 8 gennaio 2024, pag. 3).

Al riguardo, come già anticipato supra, si evidenzia che oggetto del presente provvedimento è esclusivamente il trattamento dei dati personali della clientela, effettuato da Acea Energia S.p.A., nell’ambito dei canali “porta a porta”, “shop”, “negozi WindTre” e “full web”.

Si evidenzia inoltre che, dagli accertamenti ispettivi, è emerso che i contratti inerenti agli istanti sono stati procacciati per il tramite del canale “porta a porta” e “shop” e che, nei confronti degli stessi, è stata riconosciuta, da parte della stessa Acea Energia S.p.A., l’avvenuta attivazione di contratti non richiesti (v. verbale del 8 gennaio 2024, pagg. 6 e 7 e verbale del 9 gennaio 2024, pagg. 3 e 4).

2.1.1. Il canale porta a porta e le istanze in materia di attivazioni non richieste.

Le attività di contrattualizzazione dei clienti nell’ambito del canale porta a porta sono poste in essere da agenzie incaricate dalla Società “mediante la sottoscrizione di un contratto di agenzia che prevede l’esclusiva per il settore energia” (v. verbale del 8 gennaio 2024, pag. 3).

Le stesse “sono designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento” (v. verbale del 8 gennaio 2024, pag. 3 e allegati 4 e 5). Le connesse procedure operative e le istruzioni impartite agli agenti sono contenute nella documentazione recante il predetto “Contratto di Agenzia”, nonché il “Codice deontologico AE” e le procedure denominate “PRO04.01 CV Selezione e acquisizione delle agenzie door to door-canali di vendita” e “PRO_06.01_SGI Vendite door to door-vendite” (v. nota della Società del 9 febbraio 2024, riserva n. 3).

La sottoscrizione del contratto di fornitura di energia, da parte dei clienti, “fino a maggio 2023, è stata effettuata in modalità esclusivamente cartacea. A partire da giugno 2023 è stata implementata anche la modalità digitale” (v. verbale dell’8 gennaio 2024, pag. 4).

Più nel dettaglio, qualora la sottoscrizione del contratto avvenga con modalità cartacea, “l’agente provvede a compilare il modello di proposta contrattuale inserendo i dati relativi al potenziale cliente e all’offerta cui lo stesso intende aderire, ivi compresi gli estremi del documento d’identità. (..) A partire dal 15 giugno 2023 è “tecnicamente” obbligatoria, ai fini del perfezionamento della proposta, l’acquisizione di copia del predetto documento mediante foto acquisita dall’agente con il proprio dispositivo mobile o successivamente trasmessa a quest’ultimo direttamente dal cliente” (v. verbale dell’8 gennaio 2024, pag. 4).

Inoltre, “prima dell’inserimento del contratto nei sistemi della Società, l’agente è tenuto a contattare il call center di Acea Energia per attivare la procedura di “instant call”. Trattasi di un sistema (..) di verifica della volontà contrattuale del cliente (..) che consiste in una chiamata al cliente (in tempo reale) per il tramite del contatto telefonico fornito dall’agente; chiamata che può eventualmente essere effettuata, anche su richiesta del cliente, nell’arco di 6 giorni successivi, fino a 6 tentativi” (v. verbale dell’8 gennaio 2024, pag. 4).

Ove la chiamata c.d. instant call abbia dato “esito negativo (vale a dire nel caso in cui il cliente rimanga irreperibile dopo il 6° tentativo o disconosca la proposta contrattuale nel corso dell’instant call), il contratto andrà in stato di KO e il CRM bloccherà” la procedura di contrattualizzazione (v. nota della Società del 31 luglio 2024, pag. 4).

Relativamente alle misure adottate dalla Società in ordine alla verifica dell’esattezza dei dati personali contenuti nelle proposte contrattuali procacciate dalle agenzie, è emerso che “non sono di default effettuati (..) sulle numerazioni fornite dall’agente al call center al fine dello svolgimento dell’instant call, (..) controlli circa la presenza di numeri ripetuti più di 5 volte”. Un’attività di verifica in tal senso è invece posta in essere esclusivamente “ex post e su specifica richiesta da parte della funzione preposta” (v. verbale dell’8 gennaio 2024, pag. 4).

Qualora l’instant call abbia dato esito positivo, “il contratto è caricato, tramite operatore di backoffice, all’interno del CRM della Società. (..) [A seguire], viene sottoposto a ulteriori controlli di congruenza e completezza dei dati presenti nel modulo cartaceo, per poi dare seguito all’attivazione della fornitura (..). Al momento dell’attivazione, la società provvede ad inviare al cliente, tramite email, la comunicazione di benvenuto”. Sul punto, è stato rappresentato che “non sono previsti strumenti di verifica dell’effettiva ricezione della sopra menzionata comunicazione” (v. verbale dell’8 gennaio 2024, pag. 5).

Ove invece la sottoscrizione della proposta contrattuale sia effettuata con modalità digitale, “l’agente provvede ad inserire in un form online connesso alla Partner Community Salesforce, i dati del prospect [potenziale cliente] necessari per la sottoscrizione del contratto” (nota della Società del 31 luglio 2024, pag. 1).

Tali operazioni “sono svolte dall’agente nella maggior parte dei casi tramite tablet, cellulare o PC di proprietà di ciascun agente e, in altre minoritarie casistiche, mediante dispositivi (tablet, cellulare o PC) forniti dall'agenzia ai propri agenti” (nota della Società del 31 luglio 2024, pagg. 1 e 2).

In ordine all’acquisizione degli estremi di un documento di riconoscimento del cliente, “a partire dal 15 giugno 2023 è tecnicamente obbligatoria, ai fini del perfezionamento della proposta, l’acquisizione di copia dello stesso mediante foto acquisita dall’agente con il tablet” (v. verbale dell’8 gennaio 2024, pag. 5).

“L'immagine recante la foto del documento di identità del prospect viene raccolta, nella quasi totalità dei casi, mediante l'apposita funzione della Partner Community del CRM Salesforce (..) da cui è possibile scattare la foto del documento di identità che viene [ivi] direttamente caricata (..) e non salvata in locale”.

Nelle “ipotesi estremamente residuali (..) in cui la foto del documento viene scattata tramite la fotocamera del cellulare [dell’agente] e, successivamente, caricata nella Partner Community”, la Società “ha specificato le modalità e tempistiche di cancellazione di dette immagini in un’istruzione operativa (..) trasmessa a tutte le agenzie D2D” contenuta in un documento denominato “Istruzioni operative per incaricati alla vendita”, datato 24 giugno 2024 (v. nota della Società del 31 luglio 2024, pagg. 2-3 e all. 1).

Una volta compilato il form, “viene inviato un OTP via SMS al cliente, con cui quest’ultimo provvede a sottoscrivere la proposta contrattuale (PDC). In tale ipotesi, la procedura di instant call viene attivata automaticamente a valle della sottoscrizione” (verbale dell’8 gennaio 2024, pag. 5).

Relativamente alle misure implementate al fine di garantire l’esattezza dei dati personali contenuti nelle proposte contrattuali acquisite con modalità digitale, la Società, dal mese di giugno 2023, effettua “in automatico e per tutte le proposte inserite, le seguenti verifiche: 1) numeri di telefono ripetuti più di 5 volte, 2) indirizzi email ripetuti più di 5 volte, 3) indirizzo IP di sottoscrizione ripetuto più di 5 volte (anche per evidenziare l’utilizzo di indirizzi IP stranieri). Se da tali controlli emergono alcuni alert, il processo acquisitivo viene sospeso per l’effettuazione di ulteriori verifiche di secondo livello”. Di contro, “la società non effettua controlli sulle email temporanee” (v. verbale dell’8 gennaio 2024, pag. 5).

All’esito positivo dei menzionati controlli, prosegue la fase di contrattualizzazione, come sopra descritta, in merito alla modalità cartacea.

Con riferimento ai controlli riguardanti l’esattezza dei dati personali dei clienti contenuti nei contratti oggetto di reclamo per attivazione non richiesta, “è effettuata un’analisi puntuale del processo di contrattualizzazione volto a verificare la fondatezza o meno del reclamo” e “contestualmente è avviata un’istruttoria nei confronti dell’agenzia coinvolta nel caso, al fine di valutare l’applicazione di eventuali penali; il raggiungimento di un determinato numero di penali a carico della stessa agenzia, può comportare la risoluzione del contratto. Inoltre, in funzione della reiterazione delle condotte da parte del medesimo agente, quest’ultimo può essere allontanato” (v. verbale dell’8 gennaio 2024, pag. 8; v. anche nota del 9 febbraio 2024, riserva n. 9).

Non sono invece “posti in essere controlli sugli altri contratti procacciati dallo stesso agente “infedele”, né viene eseguita alcuna attività di caring volta a verificare l’esattezza dei dati acquisiti da tale agente nello svolgimento del proprio mandato anche rispetto agli altri contratti non oggetto di specifica contestazione” (v. verbale dell’8 gennaio 2024, pag. 8).

Più in generale, in ordine alle modalità di verifica della qualità del processo di contrattualizzazione dei clienti mediante agenzie porta a porta, “a partire da [maggio] 2023, è stata introdotta una reportistica a cadenza mensile” per il monitoraggio dell’operato delle agenzie e l’applicazione delle penali (v. verbale dell’8 gennaio 2024, pag. 8).

Trattasi di una reportistica inerente al numero di pratiche commerciali scorrette, denominate PCS, ove per PCS “si intendono situazioni atipiche/patologiche rispetto alle modalità generali di contrattualizzazione (es: reclamo del cliente; altre malpractice giunte da altri canali; non conformità riscontrate dalla società in fase di contrattualizzazione)” (v. verbale del 9 gennaio 2024, pag. 6).

La stessa “viene predisposta dalla funzione «Order management e controllo qualità» ed è trasmessa ai responsabili dei singoli canali commerciali incaricati di valutare le azioni da intraprendere nei confronti degli agenti/agenzie coinvolti” (v. verbale dell’8 gennaio 2024, pag. 8).

Sulla base delle evidenze della sopra citata reportistica, “viene attribuito ad ogni agenzia un valore numerico corrispondente alla percentuale di pratiche commerciali scorrette rispetto al totale dei contratti acquisiti. Tale valore viene confrontato con la percentuale media del canale (..), per individuare le agenzie che hanno un indice di “scorrettezza” maggiore del 10% rispetto al valor medio. Sulle stesse viene effettuato un esame dettagliato delle modalità di contrattualizzazione (..), al fine di intraprendere le eventuali iniziative di conseguenza (penale, allontanamento agente, risoluzione del contratto) (v. verbale del 9 gennaio 2024, pag. 6).

Al riguardo, è stato inoltre puntualizzato “che negli anni precedenti veniva effettuata una reportistica meno strutturata” (v. verbale dell’8 gennaio 2024, pag. 8, v. anche nota del 9 febbraio 2024, riserva n. 10).

Con specifico riguardo alle misure adottate al fine di evitare che un agente −già allontanato per aver procacciato contratti non richiesti (e quindi aver trattato dati inesatti e non aggiornati dei potenziali clienti)− possa continuare, una volta passato ad altra agenzia, a operare per conto di Acea Energia S.p.A., “a partire da luglio 2024 è stato implementato nei sistemi di Acea Energia, un cruscotto di controllo sulle anagrafiche degli agenti di vendita che permette di bloccare la nuova codifica di un operatore/agente che dovesse risultare cessato per malpractice rilevate sulla qualità della vendita e quindi inserito in Black list. (..) Il controllo viene effettuato (..) sul C.F. e Carta di identità”. In particolare, “è stata creata a sistema una Anagrafica Agenti nella quale vengono tracciati, per C.F., tutti i singoli agenti con dettaglio delle seguenti informazioni: lo stato di ciascuno di essi (es. attivo/cessato), gli estremi della formazione eseguita, nonché la commissione da parte di ciascun agente di eventuali condotte qualificate dalla Società quali pratiche commerciali scorrette (di seguito PCS)”, ivi comprese “le attivazioni fatte in violazione della normativa sulla protezione dei dati personali quali, ad esempio, il disconoscimento dei dati personali contenuti nella PDC oggetto di contestazione da parte del cliente finale” (v. nota della Società del 31 gennaio 2025, pagg. 8-9; cfr. al riguardo all. 10 del verbale del 9 gennaio 2024).

2.1.2. Ulteriori canali di acquisizione della clientela.

In ordine agli ulteriori canali di acquisizione della clientela, come menzionati al par. 2.1., è emerso che:

1) “gli shop sono gestiti da agenti con contratto di agenzia in esclusiva e possono essere multibrand qualora forniscano anche servizi/prodotti diversi da quelli inerenti al settore energetico (es. telefonia, poste private, informatica, ecc) (..). Gli stessi agenti non possono svolgere attività door to door, ad eccezione della società “Jeal Group Srl” - punto vendita monobrand di Ostia - unico ad effettuare entrambe le attività sulla base di distinti contratti” (v. verbale dell’8 gennaio 2024, pag. 3). La contrattualizzazione “avviene analogamente a quella con modalità digitale (inserimento dei dati mediante Partner Community Salesforce, sottoscrizione tramite OTP e comunicazioni on-boarding). Non sono però effettuate né la procedura di instant call, né le verifiche (automatiche) sulla ripetizione degli indirizzi email/numeri di telefono/indirizzi IP. Vengono, invece, effettuati controlli a campione sugli indirizzi email e numeri di telefono. In tale fase, inoltre non è prevista l’acquisizione di copia del documento di riconoscimento del cliente” (v. verbale dell’8 gennaio 2024, pagg. 5-6);

2) “i negozi WindTre offrono offerte brandizzate “WindTre luce & gas powered by Acea Energia” in virtù di una partnership commerciale sottoscritta nel 2021 con WindTre. I sopra menzionati negozi sono gestiti direttamente da WindTre”. In tale contesto, “le Società rivestono il ruolo di contitolari del trattamento in base ad un accordo sottoscritto dalle stesse ai sensi dell’art. 26 del RGPD” (v. verbale dell’8 gennaio 2024, pag. 6) e forniscono alla clientela specifica informativa in tal senso (v. all. 3 del verbale dell’8 gennaio 2024). Secondo quanto previsto dall’art. 11 del citato accordo, Acea Energia S.p.A. “non ha il compito di nominare direttamente i responsabili del trattamento dei punti vendita poiché tale compito è in capo direttamente a WindTre” (v. nota del 31 gennaio 2025, pag. 7 e allegati 2 e 3). Per quanto concerne “la modalità di sottoscrizione del contratto [essa] è esclusivamente digitale, tramite la generazione di più OTP (nel numero di 2) (v. verbale dell’8 gennaio 2024, pag. 6 e nota della Società del 31 gennaio 2025, pagg. 5-7). L’instant call “non viene effettuata poiché il processo di contrattualizzazione avviene nei locali commerciali alla presenza dell’incaricato alla vendita e segue (..) le validazioni tramite OTP” (v. nota della Società del 31 gennaio 2025, pag. 7). Tale tipologia di contratti “è sottoposta da ottobre 2023 a controlli ex-post dal backoffice relativi ai numeri di telefono e alle email ripetute più di 5 volte. Dal 31 gennaio 2024 diverrà operativa una nuova implementazione che prevede di sottoporre in modo automatizzato i contratti in acquisizione tramite i negozi WindTre ai controlli sui numeri di telefono e le email ripetute” (v. verbale del 9 gennaio 2024, pag. 2);

3) il canale “full web” copre circa il 95% del canale web e prevede che il cliente sottoscriva “in autonomia il contratto, tramite sito web della società”. Più nel dettaglio, quest’ultimo “una volta [ivi] individuata (..) l’offerta di suo interesse, seleziona una specifica scheda prodotto, procedendo (..) alla contrattualizzazione, tramite l’inserimento di una serie di dati (anagrafici, di contatto, di fornitura, dati catastali, domiciliazione, ecc.). Sono inoltre forniti i dati inerenti agli estremi del documento d’identità, ma non è richiesto il caricamento di copia del documento. A partire da novembre 2023, a fronte della trasmissione del form, sono effettuati in automatico diversi controlli. Nello specifico si tratta di verifiche concernenti la presenza: del numero di telefono in più di 5 richieste nell’arco dell’ultima settimana; dell’indirizzo email in più di 5 richieste negli ultimi 30 giorni; dell’indirizzo IP in più di 10 richieste nelle ultime 24 ore. È inoltre accertato che non sia stato inserito un indirizzo email di tipo temporaneo. I predetti controlli sono bloccanti rispetto alla prosecuzione della procedura di contrattualizzazione. La procedura di contrattualizzazione full web non prevede l’effettuazione dell’instant call” (v. verbale dell’8 gennaio 2024, pag. 6).

2.2. Ulteriori profili inerenti al trattamento dei dati della clientela per finalità di contrattualizzazione.

In merito alle politiche di conservazione dei dati personali della clientela, Acea Energia S.p.A. ha adottato una policy denominata “Principi di data retention” (v. verbale del 9 gennaio 2024, pag. 5 e all. 3).

Inoltre, “a livello di gruppo, sono state definite e pubblicate da Acea SPA a fine luglio 2023, una “Procedura di classificazione e protezione delle informazioni” e una “Procedura data retention” volte ad avviare un’attività di mappatura di tutte le informazioni presenti in azienda anche al fine di aggiornare ulteriormente le tempistiche di conservazione dei dati personali ivi trattati. Le predette procedure sono in corso di recepimento da parte di Acea Energia” (v. verbale del 9 gennaio 2024, pag. 5).

Con riferimento ai dati dei clienti rispetto ai quali è stato raccolto un contratto per attivazione non richiesta, “non sono previste da Acea Energia modalità di limitazione del trattamento in modo da garantire la segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di esecuzione dei rapporti contrattuali regolarmente attivati” (v. verbale del 9 gennaio 2024, pag. 5).

Sul punto, nel corso degli accertamenti è inoltre emerso che “la Società non provvede ad annullare i consensi privacy [come indicati nella proposta contrattuale e] presenti nel CRM [di Acea Energia S.p.A.], né all’atto della ricezione del reclamo [per attivazione non richiesta] del cliente, né in caso di accoglimento dello stesso”. Gli stessi sono conservati secondo il “periodo di validità, indicato nella policy di data retention” e vengono aggiornati dalla Società soltanto qualora l’interessato presenti specifica istanza in tal senso (v. verbale del 9 gennaio 2024, pagg. 5 e 6).

Per quanto concerne le misure adottate da Acea Energia S.p.A. volte a verificare l’operato delle agenzie quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, la stessa “non ha definito un piano di audit specifico in materia di protezione dei dati personali” sebbene “a livello di gruppo, ad ogni modo, sono previsti piani di audit di portata più ampia, gestiti da Acea Spa, che vengono effettuati su base periodica, nell’ambito dei quali sono state anche interessate alcune tematiche connesse alla protezione dei dati personali” (v. verbale 9 gennaio 2024, pag. 7).

Più nel dettaglio, “alcune attività di privacy audit sono state svolte, nel 2022 e 2023, da Acea SPA nell’ambito di progetti pilota che hanno riguardato diverse Società del gruppo tra cui Acea Energia. Nello specifico, l’audit effettuato nel 2022 è stato condotto nei confronti di un teleseller (…) di cui si avvaleva Acea Energia” (v. verbale 9 gennaio 2024, pag. 7).

La stessa ha, al contempo, rappresentato che è stata avviata, nel mese di luglio 2024, “con il supporto di uno studio legale esterno, un’attività di audit presso terze parti, che prevede un’attività di vigilanza, in modalità on site, verso partner/fornitori di [Acea Energia S.p.A.] nominati Responsabili del trattamento, ai sensi dell’art. 28 del GDPR” (nota della Società del 31 luglio 2024, pag. 7).

Infine, relativamente alle iniziative volte alla formazione delle agenzie, la Società ha dichiarato che “gli agenti sono obbligatoriamente sottoposti ad un’attività di formazione preliminare e specifica promossa dalla Società” unitamente a “sessioni di aggiornamento a cadenza periodica (semestrale)” (v. verbale del 8 gennaio 2024, pagg. 3 e 4 e). Inoltre, un “modulo specifico [relativo alla protezione dei dati personali] è fornito nell’ambito della formazione iniziale degli agenti” (v. verbale del 9 gennaio 2024, pag. 2 e all. 2).

3. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 17 febbraio 2025, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare ad Acea Energia S.p.A. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento, in relazione alla violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; dell’art. 13; dell’art. 24; dell’art. 28 e dell’art. 32 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con comunicazione del 28 marzo 2025, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati in sede di audizione del 16 maggio 2025 e per il tramite di una nota del 6 giugno 2025.

In merito, rispetto alle violazioni contestate, Acea Energia S.p.A. ha sostenuto quanto segue:

relativamente alla contestazione inerente alla mancata adozione della procedura di istant call con riferimento ai trattamenti dei dati dei clienti contrattualizzati per il tramite dei canali “shop”, “negozi WindTre” e “full web”, la stessa non è stata introdotta in quanto nell’ambito dei predetti canali è stato di contro implementato il processo di sottoscrizione per il tramite dell’OTP, misura quest’ultima “di per sé adeguata per contenere il rischio di frode”; il tutto “in considerazione delle specificità del canale pull”. Trattasi invero di un canale “in cui è il cliente a recarsi presso il punto vendita, manifestando spontaneamente l’interesse all’attivazione del servizio, nell’ambito di una procedura d’acquisto avviata e conclusa integralmente nel locale commerciale” (cfr. nota integrativa del 6 giugno 2025, pag. 8);

rispetto alla contestata contitolarità del trattamento dei dati della clientela contrattualizzata per il tramite delle offerte brandizzate “WindTre luce & gas powered by Acea Energia”, “vi è una partecipazione congiunta di [Acea Energia S.p.A. e Wind Tre S.p.A.] nella definizione delle finalità e dei mezzi del trattamento, tanto che WindTre contribuisce attivamente nei processi decisionali e gestionali delle attività relative alla clientela congiunta”. Infatti, “le finalità del trattamento dei dati relativi ai clienti che hanno sottoscritto le [predette] offerte a brand congiunto [e i relativi mezzi] sono state determinate da entrambe le parti all'interno dell’accordo di partnership” (v. nota del 28 marzo 2025, pagg. 10-11). Ad ogni modo, la Società “sta lavorando ad un aggiornamento dell’informativa privacy relativa alle [predette] offerte, con il quale chiarirà con un maggior grado di dettaglio, da un lato, le attività - e pertanto i trattamenti ad esse sottesi - in cui Acea Energia e WindTre operano in qualità di contitolari e, dall’altro, le attività - ed i trattamenti ad esse sottesi [nella specie, quello relativo ai dati dei clienti posto in essere ai fini dell’esecuzione del contratto di fornitura di energia]- in cui la sola Acea Energia, in ragione del proprio ruolo di fornitore tecnico del servizio, opera quale Titolare autonomo”. Inoltre, “la partnership tra Acea Energia e WindTre ha scadenza contrattuale al 31 dicembre 2025 e le Parti hanno condiviso la volontà di non rinnovarla” (cfr. nota integrativa del 6 giugno 2025, pag. 11);

relativamente alla mancata individuazione di specifici tempi di conservazione dei dati dei clienti rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta, gli stessi sono ora individuati in 6 mesi; “termine successivamente al quale vi sarà la cancellazione/anonimizzazione dei dati personali da tutti i sistemi” (v. nota del 28 marzo 2025, pag. 15);

in ordine alla mancata adozione della misura di segregazione dei dati personali dei clienti, il cui contratto è cessato a seguito di reclamo per attivazione non richiesta, Acea Energia S.p.A. non ritiene di implementare la predetta misura, “tenuto conto, da un lato, dei limiti tecnico operativi dei sistemi ad oggi in uso nella Società e, dall’altro, degli impatti che eventuali modifiche potrebbero avere”. È stata invece rappresentata l’intenzione, entro il 31 dicembre 2025, “di ridurre al minimo le tempistiche di conservazione dei dati personali con riferimento ai soggetti per i quali sia stato accolto un reclamo per attivazione non richiesta, individuando le stesse in 6 mesi. (..) Decorsi i detti 6 mesi, i dati personali di tali soggetti saranno pseudonimizzati su tutti i sistemi in uso presso la Società e, conseguentemente, resi inaccessibili da parte delle funzioni interne della stessa” (v. nota integrativa del 6 giugno 2025, pagg. 9-11; cfr. anche nota del 28 marzo 2025, pagg. 15-16);

con riferimento al numero di clienti/persone fisiche rispetto ai quali è stato presentato un reclamo o è intervenuto un annullamento per attivazione non richiesta nel periodo ricompreso tra il 1° gennaio 2021 e il 31 dicembre 2023, il dato di 1231 interessati non è esatto in quanto “comprende anche il numero di contratti che sono andati in KO prima dell’attivazione della fornitura, e [i casi in cui] il medesimo cliente potrebbe aver presentato più reclami o reiterato più volte il medesimo reclamo”. Da cui ne consegue che “il numero effettivo è ancora minore” (v. nota del 28 marzo 2025, pag. 18);

con riferimento agli ulteriori elementi di valutazione ai sensi dell’art. 83, par. 2 del Regolamento, è da considerarsi in favore del trasgressore la circostanza che la Società “ha effettuato una preliminare manifestazione di interesse all’adesione al Codice di condotta per le attività di telemarketing e teleselling approvato[dall’Autorità con il Provvedimento del 7 marzo 2024] e sono già in corso gli adempimenti necessari volti alla compilazione della modulistica di adesione” (cfr. nota del 28 marzo 2025, pag. 19); adesione che risulta formalizzata il 18 luglio 2025.

3.1. Misure in corso di adozione da parte di Acea Energia S.p.A. in conformità al Regolamento.

A seguito degli accertamenti ispettivi del Garante e della contestazione delle violazioni inviata dallo stesso, Acea Energia S.p.A. ha rappresentato, in primo luogo, di aver implementato, a partire da maggio 2025, il “sistema SCIPAFI su tutti i canali di vendita (sia push che pull)” (v. nota integrativa del 6 giugno 2025, pag. 7).

Tale misura prevede che gli incaricati trascrivano, nel CRM, i dati riportati nel documento di riconoscimento del cliente (ovvero “numero del documento, data di emissione del documento, data di scadenza del documento, ente che ha rilasciato il documento”), al fine di interrogare il “Sistema pubblico di prevenzione delle frodi nel settore del credito al consumo con specifico riferimento al furto d’identità (c.d. SCIPAFI)” (v. nota integrativa del 6 giugno 2025, pag. 7).

Tutto ciò, nell’ottica di “svolgere un controllo in merito all’esistenza in vita del cliente/prospect ed alla validità degli estremi del documento di identità nonché all’eventuale presenza di denunce di smarrimento o furto del detto documento” (v. nota integrativa del 6 giugno 2025, pag. 7).

La Società ha inoltre dichiarato di essere in procinto di adottare le seguenti ulteriori misure:

introduzione, entro il 31 dicembre 2025, di ulteriori presidi di verifica dell’identità del cliente, in considerazione del fatto che, tramite SCIPAFI, è possibile avere un riscontro “in merito alla corrispondenza del numero di documento al relativo codice fiscale [esclusivamente] per il passaporto e la patente di guida, e non per la carta di identità”. Si tratta nello specifico, di “una serie di alert [automatici] volti ad assicurare che i documenti di riconoscimento utilizzati per l’identificazione del prospect risultino associati univocamente all’anagrafica di un unico cliente/persona fisica della Società (ed eventualmente anche quale referente di una sola persona giuridica)”. Il tutto, al fine di “evitare che un agente possa riutilizzare un documento di riconoscimento già utilizzato in precedenza per l’attivazione di forniture di energia elettrica e/o gas”. Nelle more dell’implementazione a sistema del predetto controllo, la Società ha previsto, a partire da maggio 2025, lo svolgimento manuale dello stesso, con reportistica mensile (v. nota del 28 marzo 2025, pagg. 2-4: v. anche nota integrativa del 6 giugno 2025, pagg. 7-8);

implementazione, entro il 31 luglio 2025, per il solo canale door to door digitale, –unico canale rispetto al quale è stata mantenuta la misura inerente all’acquisizione del documento di riconoscimento del cliente– di “una funzionalità volta ad inibire a sistema la possibilità di effettuare il caricamento [dello stesso] dalla galleria fotografica dei dispositivi in uso dall’agente”. Tutto ciò, “prevedendo la possibilità di acquisir[lo], in via esclusiva, per il tramite dell’apposita funzione della Partner Community mediante «Fotocamera», senza che vi sia un transito attraverso la memoria locale dei dispositivi stessi” (v. nota integrativa del 6 giugno 2025, pagg. 7-8);

adozione, entro il 31 dicembre 2025, con riferimento alla trasmissione della “Comunicazione di benvenuto” che viene inviata al cliente al momento dell’attivazione della fornitura, “di un sistema di invio [della stessa] in formato cartaceo presso l’indirizzo di ubicazione della fornitura mediante posta ordinaria, che possa garantire la tracciatura di avvenuta consegna in linea con le specifiche funzionalità messe a disposizione del postalizzatore”. La predetta comunicazione sarà altresì trasmessa all’indirizzo e-mail del cliente (v. nota integrativa del 6 giugno 2025, pag. 5; cfr. anche nota del 28 marzo 2025, pagg. 4-5);

previsione, a partire dal 1° ottobre 2025, relativamente al canale door to door, di un’attività di caring consistente nel ricontatto di un campione pari “al 20% dei soggetti contrattualizzati da un agente rispetto al quale è stata evidenziata una malpractice. Il [predetto] campione è selezionato tra i clienti che hanno sottoscritto contratti procacciati dall’agente nei 6 mesi antecedenti all’accertamento della malpractice”. Inoltre, “nel caso in cui, nel corso di tale attività di caring, siano riscontrate ulteriori malpractice poste in essere dal detto agente, [la Società] provvederà ad ampliare la percentuale di campionamento al fine di approfondire il controllo a seguito del rilevamento di tali criticità” (v. nota integrativa del 6 giugno 2025, pagg. 5-6; cfr. anche nota del 28 marzo 2025, pagg. 5-6);

estensione, entro il 31 dicembre 2025, al canale “shop” dei “controlli già presenti nel processo digitale door to door [in ordine] all’analisi delle ripetizioni [più di 5 volte] dei numeri di cellulare e degli indirizzi email” (v. nota integrativa del 6 giugno 2025, pag. 5; cfr. altresì nota del 28 marzo 2025, pag. 7);

programmazione di audit periodici (“almeno un audit ogni trimestre”) in materia di protezione dei dati personali. Sul punto, la Società ha rappresentato di aver già concluso, tra fine 2024 e inizio 2025, “un’attività di vigilanza, in modalità on site/da remoto, presso n. 2 partner/fornitori nominati responsabili del trattamento, ai sensi dell’art. 28 del GDPR” e di avere altresì avviato attività di audit presso partner che operano quali agenzie door to door (v. nota del 28 marzo 2025, pagg. 13-14);

introduzione, entro il 31 dicembre 2025, con riferimento ai consensi prestati dai clienti in sede di sottoscrizione del contratto, di una procedura che preveda “l’automatismo secondo cui, a valle dell’accoglimento di reclamo avente ad oggetto sia «Applicazione 66 quinquies» sia «Procedura ripristinatoria 228», si avvierà un processo automatico (e non più manuale) di revoca a sistema di tutti i consensi relativi al detto contratto eventualmente prestati”. Al riguardo, la Società ha puntualizzato che, nelle more di quanto sopra, a partire dal secondo semestre del 2024, la predetta revoca è effettuata “mediante una lavorazione manuale da parte delle Unità deputate (..) anche in assenza di esplicita richiesta in tal senso” (v. nota del 28 marzo 2025, pag. 16; cfr. verbale dell’audizione del 16 maggio 2025, pag. 3).

3.2. Misure adottate dalla Società prima della notifica della violazione.

Da ultimo, in adempimento al principio di accountability, la Società ha fatto presente di avere già adottato, precedentemente alla trasmissione da parte dell’Autorità dell’atto di notifica di violazione:

a partire dall’11 luglio 2024, un “processo di gestione delle anagrafiche degli agenti” nell’ottica di “automatizzare una serie di controlli, volti a contrastare possibili comportamenti scorretti da parte degli stessi”, quali la verifica: (i) “della corrispondenza tra il numero di cellulare che ha prenotato l’instant call e quello associato all’anagrafica dell’agente”; (ii) “della corrispondenza del numero di cellulare/telefono del cliente utilizzato per la instant call e quello presente sulla PDC”; (iii) “relativa alla validità del tesserino rilasciato all’agente” che, “nel caso in cui dovesse essere scaduto o l’agente non risultare abilitato, inibisce il caricamento di PDC (..) per il canale D2D sia digitale che cartaceo”. È inoltre stato previsto un controllo volto a garantire “l’impossibilità di utilizzare il numero di telefono dell’agente come numero per l’accettazione dell’offerta” (v. nota integrativa del 6 giugno 2025, pagg. 2-3; cfr. anche nota del 28 marzo 2025, pagg. 17-18);

la misura, esclusivamente per il canale door to door, del “blocco automatico nei sistemi al momento dell’attivazione di contratti sottoscritti da persone ultrasettantacinquenni” (v. nota integrativa del 6 giugno 2025, pag. 2; cfr. anche nota del 28 marzo 2025, pag. 17);

un programma di formazione, in materia di protezione dei dati personali, delle agenzie e dei singoli agenti, in relazione ai canali “porta a porta”, “shop” e “Negozi WindTre”. Tutto ciò, anche mediante la previsione, nel relativo materiale formativo, di un “focus su PCS e malpractice, nonché aspetti privacy d’interesse”. Tale materiale è condiviso con le agenzie e successivamente “utilizzato dalle stesse in fase di formazione (sia prima formazione che refresh formativo)”. È inoltre stata introdotta una preliminare attività di training degli agenti, specifica e obbligatoria, effettuata direttamente dalla Società, che “prevede anche un modulo relativo alla protezione dei dati personali, (..) unitamente a sessioni di aggiornamento a cadenza periodica (semestrale)” (v. nota del 28 marzo 2025, pagg. 15-16; v. nota integrativa del 6 giugno 2025, pagg. 3-4);

“una procedura di segnalazione, alle agenzie, degli agenti che risultano inattivi da più di 180 giorni. La suddetta procedura prevede che, qualora, a seguito di tale segnalazione, l’agenzia non dovesse fornire un riscontro, la Società cesserà l’operato dei suddetti agenti” (v. nota integrativa del 6 giugno 2025, pag. 4).

4. L’esito dell’istruttoria e le valutazioni del Dipartimento sull’illiceità del trattamento dei dati personali dei clienti in materia di attivazioni non richieste.

In primis, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, alla luce degli elementi acquisiti nel corso del procedimento nonché delle successive valutazioni svolte da questo Ufficio, anche in ordine agli ulteriori elementi pervenuti successivamente allo svolgimento della predetta attività ispettiva, risulta accertato quanto segue.

In ordine alle istanze pervenute all’attenzione del Garante, è innanzitutto emerso che il trattamento oggetto di doglianza è stato posto in essere da Acea Energia S.p.A., in qualità di titolare, per il tramite di alcune agenzie, designate, ai sensi dell’art. 28 del Regolamento, responsabili delle attività di trattamento; ciò nel lasso di tempo −individuato dal 1° gennaio 2021 al 31 dicembre 2023 (periodo corrispondente alle estrazioni dei dati forniti dal titolare; v. nota del 31 gennaio 2025, pagg. 1 e 2)− in cui le predette agenzie hanno operato al fine di procacciare potenziali clienti per conto dello stesso.

Tali condotte, per le modalità organizzative e gestionali in essere nell’ambito del sistema di acquisizione di nuovi clienti implementato da Acea Energia S.p.A. –come più dettagliatamente esplicitato nel proseguo– hanno determinato un’attività di trattamento dei dati personali degli istanti e di altri potenziali clienti, non conforme al Regolamento in quanto contrario ai principi di correttezza ed esattezza dei dati (art. 5, par. 1, lettere a) e d) del Regolamento); ciò con particolare riferimento alle specifiche modalità poste in essere da alcuni agenti all’atto della acquisizione di proposte contrattuali mediante il trattamento di dati inesatti e non aggiornati riferiti alla clientela.

L’attività istruttoria ha altresì evidenziato che, sebbene i trattamenti oggetto di controllo siano stati posti in essere da responsabili del trattamento (agenti) che hanno operato in violazione delle istruzioni impartite dal titolare (v. verbali dell’8 e 9 gennaio 2024), è parimenti emerso che le misure tecniche e organizzative adottate da Acea Energia S.P.A., nell’ambito dei processi di acquisizione della clientela, per il tramite dei canali “porta a porta”, “shop” e “negozi WindTre”, non sono risultate adeguate alla natura, al contesto, alle finalità e ai rischi del suddetto trattamento, configurando una violazione dei principi di “responsabilizzazione” e di “integrità e riservatezza” (art. 5, par. 1, lett. f) e par. 2, art. 24 e art. 32 del Regolamento).

Sul punto, è invero opportuno rilevare che, ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. cons. 74 e artt. 5, par. 2 e 24 del Regolamento); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28 del Regolamento; previsione di audit interni ed esterni con cadenza periodica; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Nello specifico settore dell’energia e del gas, inoltre, il Garante si è già espresso, fin dal dicembre 2019, in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al Regolamento (v. provvedimento dell’11 dicembre 2019, doc. web n. 9244358; ma vedi anche, più di recente, provvedimento del 28 settembre 2023, doc. web n. 9940988; provvedimento del 12 ottobre 2023, doc. web n. 9965217; provvedimento del 14 luglio 2024, doc. web 10053211).

Tali decisioni, per quanto rivolte a specifici operatori, contengono indicazioni di portata generale in relazione alle misure tecnico-organizzative che un fornitore di energia è tenuto ad adottare, nel corso delle operazioni di contrattualizzazione dei propri clienti, al fine di garantire l’esattezza dei dati personali trattati dai responsabili nominati ai sensi dell’art. 28 del Regolamento, nonché di verificare il rispetto delle istruzioni agli stessi impartite.

Le predette decisioni hanno avuto un’elevata evidenza pubblica essendo state anche oggetto di comunicazione, da parte del Garante, nell’ambito della propria newsletter e essendo state riportate da numerosi articoli di stampa.

Dalle risultanze emerse nel corso degli accertamenti ispettivi in loco, nonché dall’esame della documentazione in atti, di contro, sono emerse diverse carenze nelle procedure attuate da Acea Energia S.p.A., nel settore oggetto di attenzione, procedure che sono apparse lacunose e poco efficaci, soprattutto in termini di garanzia dell’esattezza dei dati trattati, di sicurezza del trattamento nonché di controllo dell’operato degli incaricati all’uopo autorizzati; proprio l’inadeguatezza e la lacunosità di tali modalità procedurali ha permesso ad alcuni soggetti (nella specie gli agenti) di operare in violazione dei principi e dei diritti di protezione dati, con ripercussioni sulla correttezza dei trattamenti e sulla qualità dei dati trattati.

4.1. L’illiceità del trattamento dei dati personali dei clienti per il tramite del canale porta a porta.

L’inidoneità delle misure tecnico organizzative implementate da Acea Energia S.p.A., come sopra anticipato, è stata constatata, in particolare, con riferimento alle attività di contrattualizzazione della clientela effettuate nell’ambito del canale porta a porta.

Al riguardo, è emerso, in primis, che la raccolta dei dati personali dei potenziali clienti, da parte degli agenti, avviene sulla base di specifiche istruzioni fornite da Acea Energia S.p.A. nel Contratto di agenzia e, in particolare, nel “Codice deontologico AE” e nel “Data Processing Agreement”, allegati allo stesso (v. all. 4 del verbale dell’8 gennaio 2024).

Sul punto, si rileva tuttavia che le istruzioni impartite dalla Società non contenevano, alla data degli accertamenti ispettivi, indicazioni dettagliate sulle procedure di verifica dell’identità del cliente.

Le stesse infatti si limitavano a prevedere che l’incaricato, fosse tenuto, all’atto dell’adesione alla proposta contrattuale redatta in modalità cartacea, a “fare copia del documento d’identità dell’intestatario della fornitura” (v. Codice deontologico AE, pag. 3) e, in occasione della sottoscrizione con modalità digitale, a effettuare “una scansione di un documento d’identità del cliente” (v. Codice deontologico AE, pag. 4). Le istruzioni lasciavano tuttavia all’agente un eccessivo margine di discrezionalità in ordine agli strumenti e alle modalità da impiegare per l’acquisizione della copia del documento di identità dell’interessato.

La predetta procedura non appare in linea con le misure che il titolare deve adottare per garantire che il trattamento sia conforme al principio di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento; v. anche art. 32 del Regolamento), non essendo in grado di assicurare che la documentazione acquisita dall’agente sia dallo stesso trasmessa unicamente ai sistemi della Società e che, dopo tale trasmissione, venga immediatamente cancellata dal dispositivo di quest’ultimo.

Sulla base delle sopra descritte istruzioni, l’incaricato può, infatti, acquisire −come peraltro dichiarato dalla Società in sede di accertamenti ispettivi (v. verbale dell’8 gennaio 2024, pagg. 4 e 5)− copia del documento di riconoscimento del cliente, mediante fotografia da effettuarsi anche tramite il proprio dispositivo mobile personale.

Ciò comporta quindi un elevato rischio che la predetta documentazione, dopo il perfezionamento del contratto, rimanga nella piena disponibilità dell’agente e possa quindi essere utilizzata, da quest’ultimo, in modo improprio, anche per la futura attivazione di ulteriori contratti, non richiesti.

Merita evidenziare che il rischio di cui sopra permane anche con riferimento alle nuove modalità di sottoscrizione digitale della proposta contrattuale, introdotte da Acea Energia S.p.A., a partire dal mese di giugno 2024; modalità peraltro attualmente in corso di revisione (cfr., in tal senso, il par. 3.1. della presente decisione, ove sono riportate le misure che la Società ha dichiarato di aver intenzione di implementare).  

Nell’ambito della procedura adottata da giugno 2024, era consentito all’agente di caricare la foto del documento di identità, direttamente per il tramite dell’apposita funzione presente nella Partner Community del CRM, senza alcun salvataggio della stessa in locale. Nelle istruzioni impartite alle agenzie, però, non è stato possibile rinvenire alcuna esplicita previsione in ordine all’obbligatorietà dell’adozione della predetta modalità (v. pag. 6 dell’all. 1 alla nota della Società del 31 luglio 2024).

Parimenti, non risulta che Acea Energia S.p.A. abbia adottato, sul punto, specifiche misure tecnico-organizzative, quali ad esempio alert (ossia sistemi di segnalazione) volti a monitorare l’osservanza della predetta procedura da parte dell’agente che procede al caricamento delle immagini, né un sistema di verifiche, in ordine ai documenti caricati (ad esempio quelle finalizzate ad accertare la congruenza tra la data di creazione dell’immagine e la data di sottoscrizione della proposta contrattuale).

La Società ha inoltre rappresentato che, alla data del 31 luglio 2024, esistevano ipotesi estremamente residuali (..) relative ai casi in cui (..) la foto del documento [veniva] scattata tramite la fotocamera del cellulare collegato al PC mediante cavo e, successivamente, caricata da PC nella Partner community del CRM Salesforce” (cfr. nota della Società del 31 luglio 2024, pag. 3), e che la stessa aveva impartito al riguardo, da giugno 2024, specifiche istruzioni agli agenti.

Sul punto, si osserva però che −sebbene quest’ultime prevedessero che “l’incaricato [fosse tenuto a] cancellare dalla memoria del dispositivo la scansione del documento subito dopo il caricamento sulla Partner Community, e comunque non oltre il giorno in cui è avvenuto il caricamento della PDC” −, la Società non aveva comunque al contempo implementato misure idonee a prevenire eventuali utilizzi fraudolenti della predetta documentazione, da parte degli operatori.

Infatti, anche nello scenario che prevede l’impiego, da parte degli agenti, di propri dispositivi personali, la Società, ai sensi dall’art. 32 del Regolamento, avrebbe dovuto adottare misure a protezione dei dati degli interessati quali, ad esempio, l’uso di software BYOD MDM, che consentono la gestione e la configurazione dei suddetti dispositivi, qualora utilizzati in ambito aziendale.

Ne consegue pertanto che tali istruzioni, nella sopra aggiornata formulazione risalente a giugno 2024, non risultano in linea con quanto richiesto al titolare dagli artt. 5, par. 1, lett. f) e 32 del Regolamento.

Con riferimento alle ulteriori fasi inerenti alla procedura di contrattualizzazione, è stato inoltre rilevato che la “Comunicazione di benvenuto” è trasmessa al cliente all’indirizzo e-mail acquisito, in fase di sottoscrizione del contratto, e che “non sono previsti strumenti di verifica dell’effettiva ricezione della [stessa]” (v. verbale dell’8 gennaio 2024, pag. 5).

In via preliminare, sul punto si rileva che il sistema così concepito, in quanto basato unicamente su recapiti acquisiti dall’agente, non fornisce sufficiente certezza della corrispondenza di questi ultimi con l’effettivo utilizzatore dell’utenza, determinando il rischio per Acea Energia S.p.A. di acquisire contratti non richiesti, contenenti dati personali inesatti e non aggiornati.

Merita, al riguardo, evidenziare infatti che la mancata adozione di misure che consentano al titolare di avere evidenza dell’effettiva ricezione, da parte del cliente, della trasmissione della “Comunicazione di benvenuto” (quali ad esempio l’utilizzo di messaggi di lettura del contenuto delle stesse), comporta il rischio che quest’ultima non venga dallo stesso mai visionata, ove trasmessa a un indirizzo non appartenente all’interessato.

Diversamente, la previsione delle sopra menzionate misure, consentirebbe alla Società di avere maggiore certezza dell’esatto recapito della predetta comunicazione, rendendo tra l’altro possibile intercettare l’anomalia, riscontrata a carico delle agenzie interessate, in una fase precoce e precedente all’attivazione dei relativi contratti.

La predetta “Comunicazione di benvenuto”, inoltre, dovrebbe essere trasmessa, oltre che al recapito presente nel contratto, anche via posta all’indirizzo corrispondente al POD/PDR insistente sulla fornitura mediante un servizio di tracciamento dell’avvenuta consegna; ciò al fine di consentire al cliente di intraprendere tempestivamente le azioni del caso, anche nell’ottica di poter esercitare i diritti ex artt. 15-22 del Regolamento con riferimento ai dati inesatti forniti dall’agente.

Gli accertamenti ispettivi hanno inoltre evidenziato che Acea Energia S.p.A. non si è dotata a suo tempo −ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie− di un sistema di rilevamento del caricamento nel CRM, da parte degli agenti, di numerazioni telefoniche, indirizzi e-mail e indirizzi IP ricorrenti. Tali misure sono state, infatti, implementate soltanto a partire dal mese di giugno 2023 ed esclusivamente con riferimento alle ipotesi di sottoscrizione del contratto con modalità digitale.

Sul punto, dagli accessi effettuati in sede di attività ispettiva, è emerso che diverse proposte contrattuali presenti nel CRM recavano, al loro interno, quale dato di contatto dell’interessato, il medesimo indirizzo di posta elettronica/numero di telefono; indirizzo/numero risultato ex post non appartenente agli effettivi clienti coinvolti (v. riserva n. 7 del verbale dell’8 gennaio 2024).

Al riguardo, dall’analisi delle proposte contrattuali acquisite negli anni 2021, 2022 e 2023 e “caricate” nei sistemi della Società dagli agenti porta a porta, come fornite dal titolare (v. riserva n. 7 del verbale dell’8 gennaio 2024), è stata evidenziata l’anomala presenza di 4312 contratti in cui lo stesso indirizzo e-mail/numero di telefono (del potenziale cliente) era ripetuto per più di 5 volte.

È stato, altresì, accertato che Acea Energia S.p.A. non si è dotata, ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie, di alert automatici in grado di evidenziare anomalie procedurali (quali ad esempio la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’anomalo numero di instant call con esito irreperibile; il caricamento a sistema di proposte di contratto multiple, a nome di un medesimo soggetto; ecc.; cfr. nota del 31 luglio 2024, pagg. 5 e 6).

L’implementazione dei sopra citati sistemi in grado di rilevare la presenza delle predette anomalie, in fase di contrattualizzazione, avrebbe potuto limitare le condotte oggetto di contestazione, consentendo alla Società di intervenire tempestivamente nelle operazioni di trattamento dei dati dei clienti contenuti nella documentazione contrattuale caricata a sistema, impedendo ex ante l’attivazione della relativa fornitura.

L’assenza di tale misura appare aggravata dalla prevedibilità della condotta posta in essere dagli agenti, se si considera l’elevata diffusione dei sopra menzionati fenomeni nel settore di riferimento ed il grado di consapevolezza richiesto al predetto titolare, in ragione del ruolo specifico da questi svolto nel contesto della vendita e fornitura di energia nel libero mercato; ciò in particolare alla luce delle indicazioni già da tempo fornite dal Garante in materia in casi analoghi a quelli di specie (cfr. provvedimento dell’11 dicembre 2019, doc. web n. 9244358; ma vedi anche, più di recente, provvedimento del 28 settembre 2023, doc. web n. 9940988, provvedimento del 12 ottobre 2023, doc. web n. 9965217 e provvedimento del 17 luglio 2024, doc. web 10053211).

Parimenti, non sono state fornite dalla Società evidenze circa lo svolgimento di verifiche e/o approfondimenti (nemmeno a campione) sull’esattezza dei dati personali acquisiti con riferimento agli altri contratti stipulati dagli agenti rispetto ai quali erano state evidenziate irregolarità, a prescindere dalla presentazione di un reclamo da parte degli interessati (ad esempio mediante un’attività di caring dei clienti contrattualizzati dai medesimi incaricati, volta ad accertare l’effettiva legittimità dei contratti ivi attivati e dei trattamenti effettuati, v. verbale dell’8 gennaio 2024, pag. 8).

In tale prospettiva, infatti, non appare sufficiente la misura di carattere più generale –peraltro adottata unicamente dal secondo semestre 2023– consistente nella predisposizione di una reportistica, a cadenza mensile, inerente al numero totale di reclami per attivazione non richiesta (cfr. verbale dell’8 gennaio 2024, pag. 8 e riserva n. 10 del medesimo verbale).

Da ultimo, si rileva che la Società ha introdotto, soltanto a partire dal mese di luglio del 2024, procedure volte a evitare che un agente, già allontanato per aver procacciato contratti non richiesti (e quindi aver trattato dati inesatti e non aggiornati dei potenziali clienti), possa continuare, una volta passato ad altra agenzia, ad operare per conto di Acea Energia S.p.A. (v. nota della Società del 31 gennaio 2025, pp. 8-9).  

Le misure adottate dalla Società ai fini della verifica dell’esattezza dei dati trattati dall’agente, come complessivamente sopra descritte, appaiono, pertanto, in considerazione dei rischi connessi al trattamento posto in essere, nonché della natura e del contesto dello stesso, inadeguate a rendere conforme il trattamento a quanto previsto dal Regolamento. Tutto ciò considerato, peraltro, che il fenomeno delle attivazioni non richieste, specialmente per il tramite delle modalità concretamente utilizzate nei casi in esame, era già pienamente conosciuto da anni nel settore di riferimento, come testimoniato non solo dai sopra citati provvedimenti del Garante, ma anche dalle diverse decisioni adottate da altre Autorità nei rispettivi ambiti di competenza in relazione a condotte illecite finalizzate alla conclusione di contratti all’insaputa dei potenziali clienti (cfr., tra i tanti, AGCM, provvedimenti del 21 dicembre 2016, rif. PS6259, PS10114 e PS10338; AGCM, provv. del 13 dicembre 2022, n. 30422).

Tanto complessivamente rilevato, ne consegue quindi la violazione, da parte di Acea Energia S.p.A., delle disposizioni di cui all’art. 5, par. 1, lett. a), d) e f), e par. 2; all’art. 24 e all’art. 32 del Regolamento.

4.2. L’illiceità del trattamento dei dati personali dei clienti per il tramite dei canali “shop”, “negozi WindTre” e “full web”.

È stata accertata l’inadeguatezza delle misure tecniche e organizzative adottate da Acea Energia S.p.A., nell’ambito dei processi di acquisizione della clientela, anche con riferimento ai trattamenti dei dati dei clienti contrattualizzati per il tramite dei canali “shop”, “negozi WindTre” e “full web” per le ragioni di seguito esplicitate.

All’esito dell’attività istruttoria, è emerso che, con riferimento agli “shop” e ai “negozi WindTre”, sebbene la procedura di contrattualizzazione sia analoga a quella prevista per il canale porta a porta con modalità digitale, non sono state adottate misure idonee a verificare l’esattezza dei dati acquisiti dagli incaricati.

In primo luogo, si evidenzia che Acea Energia S.p.A. in linea generale non ha introdotto, nell’ambito di tali canali, la procedura di instant call, in quanto è stato ivi implementato il processo di sottoscrizione per il tramite dell’OTP; misura quest’ultima ritenuta dalla Società “di per sé adeguata per contenere il rischio di frode”, trattandosi di un contesto in cui “è il cliente che si presenta volontariamente presso il punto vendita manifestando la volontà di aderire ad una determinata offerta” e sottoscrivendo “consapevolmente la [proposta contrattuale]” (v. nota integrativa del 6 giugno 2025, pag. 8).  

La sopra menzionata argomentazione (v., più dettagliatamente, il par. 3, prima alinea, del presente provvedimento) non è però condivisibile stante quanto constatato, sul punto, nel corso degli accertamenti ispettivi (si veda, in merito, la documentazione in atti, relativa all’istanza del 2 febbraio 2023 presentata dal Sig. XX).

Nell’ambito delle verifiche, è infatti emerso che, in tali ipotesi, la proposta contrattuale è sottoscritta mediante digitazione di un OTP inviato al numero di telefono indicato nella stessa; laddove però l’agente indichi un recapito diverso (ad esempio un’utenza nella sua disponibilità) il perfezionamento del contratto avviene comunque all’insaputa del cliente che, successivamente ‒come nel caso sopracitato‒ disconosce il recapito utilizzato dalla Società.

Nel caso inerente al Sig. XX è stato, ad esempio, constatato che il numero di telefono adoperato da Acea Energia S.p.A., per la trasmissione dell’OTP, era associato, nel CRM della Società, “ad ulteriori tre distinti clienti” (v. nota del 9 febbraio 2024, riserva n. 4).

Ne consegue che l’assenza di ulteriori presidi (quale, ad esempio, l’istant call) di verifica della volontà contrattuale del cliente (e di conseguenza dell’esattezza dei dati personali di quest’ultimo), non ha consentito alla Società di intercettare tempestivamente situazioni di anomalia oggetto, poi, di successivo reclamo.

Da ultimo, più in generale, si tenga anche conto che i cc.dd. canali “pull” non sono stati, negli ultimi anni, esclusi dal fenomeno delle attivazioni non richieste (v. nota del 31 gennaio 2025, pag. 2). Tale circostanza avrebbe quindi dovuto allertare la Società, in ordine all’effettiva efficacia dello strumento dell’OTP quale misura, di per sé, adeguata a contenere il rischio di frode (e, quindi, ad assicurare l’esattezza dei dati personali dei clienti).  

Si osserva altresì che Acea Energia S.p.A., rispetto agli “shop”, non ha ritenuto di estendere le misure, adottate a partire dal mese di giugno 2023, per le ipotesi di sottoscrizione del contratto con modalità digitale (ovvero gli alert sulla ripetizione di e-mail/numeri di telefono; cfr. supra par. 2.1.2. del presente provvedimento); mentre, per quanto riguarda i “negozi WindTre”, la Società ha assunto iniziative specifiche in tal senso, soltanto a partire dal 1° febbraio 2024 (v. supra par. 2.1.2. del presente provvedimento).

Da ultimo, si rileva inoltre che, rispetto a nessuno dei canali sopra individuati, Acea Energia S.p.A. ha adottato alert automatici idonei a segnalare anomalie procedurali, né ha previsto lo svolgimento di verifiche e/o approfondimenti sull’esattezza dei dati personali acquisiti, con riferimento agli altri contratti stipulati dagli agenti rispetto ai quali erano state evidenziate irregolarità, a prescindere dalla presentazione di un reclamo da parte degli interessati (v. in merito supra par. 2.1.2. del presente provvedimento).

Per quanto concerne il canale “full web” è stato invece constatato che, fino al mese di novembre 2023, la Società non ha implementato alcuna misura volta a verificare l’esattezza dei dati raccolti tramite tale canale e che, a partire dalla predetta data, l’unica verifica introdotta è stata quella inerente alla presenza di numeri di telefono, indirizzi e-mail e indirizzi IP ricorrenti, all’interno del CRM (v. verbale dell’8 gennaio 2024, pag. 6).

Infine, in merito ai “negozi WindTre”, è emerso che le informazioni rese alla clientela, con riferimento alle offerte brandizzate “WindTre luce & gas powered by Acea Energia”, ai sensi dell’art. 13 del Regolamento, per il tramite del modello denominato “Informativa Privacy WindTre Luce & Gas” (v. all. 3 del verbale dell’8 gennaio 2024), indicano Wind Tre S.p.A. e Acea Energia S.p.A. quali contitolari, anche con riferimento al trattamento inerente alla gestione del contratto di fornitura di energia e gas.

Sul punto, si evidenzia che, ai sensi del paragrafo 4 dell’Informativa sopra menzionata, è previsto che spetti ai predetti contitolari lo svolgimento delle attività di trattamento inerenti alla gestione del contratto.

Si tratta, ad esempio, di quelle connesse alle operazioni di “domiciliazione bancaria, recupero crediti, (..), lettura dei contatori, (..), gestione dei crediti ed altre attività comunque connesse alla gestione del rapporto contrattuale; individuazione dell’intestatario del canone di abbonamento TV (..); tutela del rischio del credito, (..) verifiche atte ad accertare (..) la solvibilità del cliente, anteriormente o nel corso del rapporto contrattuale” (v., in particolare, lettere a) e b della predetta Informativa).

Tali attività, però, a differenza di quanto sostenuto dalla Società (v. par. 3, seconda alinea, del presente provvedimento), si riferiscono esclusivamente al contratto di fornitura di energia e, in quanto tali, possono essere pertanto lecitamente effettuate dal solo fornitore erogatore del servizio di luce e gas; fornitore che, rispetto alle predette operazioni di trattamento, non può che agire in qualità di titolare autonomo.

In ragione della constatata autonoma titolarità di Acea Energia S.p.A. in ordine al trattamento dei dati della clientela di cui sopra, l’informativa nei termini così prospettati non può pertanto ritenersi conforme a quanto previsto dall’art. 13 del Regolamento.

Ne deriva inoltre che la Società era, di conseguenza, tenuta a designare i “negozi WindTre” quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, non potendosi ritenere idonea, a tal fine, la designazione effettuata da Wind Tre S.p.A. ai sensi dell’art. 11 del citato accordo di contitolarità.

Per tutto quanto complessivamente suesposto, si rileva quindi la violazione, da parte di Acea Energia S.p.A., con riguardo ai trattamenti dei dati della clientela effettuati per il tramite dei canali di cui sopra, delle disposizioni di cui all’art. 5, par. 1, lett. a) e d), e par. 2 e agli artt. 13, 24 e 28 del Regolamento.

4.3. Inosservanza agli obblighi di vigilanza sull’operato delle agenzie.

Per quanto concerne gli agenti incaricati, ai sensi dell’art. 28 del Regolamento, di svolgere attività di trattamento di dati personali da parte di Acea Energia S.p.A., si fa presente che la stessa, in qualità di titolare, è tenuta ad “impiegare unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” a conformare il trattamento al Regolamento (art. 28, par. 1 del Regolamento).

Tale previsione, come evidenziato dallo stesso Comitato europeo per la protezione dei dati (cfr. EDPB, Linee guida del 7 luglio 2021, n. 07/2020 sui “concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”- di seguito “Linee guida 7/2020”) assume le caratteristiche di “un obbligo permanente” a fronte del quale il titolare deve, “ad intervalli adeguati, (..) verificare le garanzie offerte dal responsabile del trattamento” (cfr. EDPB, Linee guida 07/2020, paragrafi 94, 99 e 114).

Tutto ciò sia –come già richiamato supra (v. paragrafi 4, 4.1. e 4.2.)– attraverso l’assunzione di comportamenti proattivi, atti a individuare tempestivamente eventuali situazioni patologiche del processo di contrattualizzazione (e dunque delle attività di trattamento che ne conseguono), sia per il tramite della previsione di audit periodici volti al controllo dell’operato delle agenzie incaricate e alla verifica del corretto e puntuale adempimento dei compiti ad esse affidati (v. art. 5, par. 2, art. 24 e art. 28, par. 3, lett. h) del Regolamento).

Parimenti, l’applicazione delle medesime disposizioni normative (art. 24, par. 1 e art. 28, paragrafi 1 e 3, del Regolamento), comporta altresì, per il titolare, in osservanza del principio di accountability, la necessaria predisposizione, a cadenza regolare, di sessioni formative, dirette ai responsabili nominati ai sensi dell’art. 28 del Regolamento, al fine di garantire la corretta comprensione e la puntuale applicazione delle specifiche istruzioni impartite a questi ultimi, anche da parte degli agenti autorizzati al trattamento dei dati (cfr. EDPB, Linee guida 07/2020, par. 19).

Rispetto agli adempimenti sopra richiamati, dalle verifiche in loco, è di contro emerso che la Società non ha svolto, fino al mese di settembre 2024, alcuna attività di audit volta a verificare l’operato delle agenzie designate responsabili del trattamento, in ordine agli adempimenti di cui al Regolamento (v. verbale del 9 gennaio 2024, pag. 7 e nota della Società del 31 luglio 2024, pag. 7).

Con riferimento, invece, alle attività finalizzate alla formazione in materia di protezione dei dati personali delle agenzie e dei singoli agenti, dall’esame della documentazione recante l’indicazione delle tematiche trattate nelle relative sessioni (v. all. 7 del verbale dell’8 gennaio 2024), è emerso che le iniziative concernenti tale tematica fino ad oggi poste in essere dalla Società hanno riguardato esclusivamente il c.d. canale teleselling (v., in tale senso, il contenuto dell’all. 2 del verbale del 9 gennaio 2024, recante le tematiche oggetto di formazione).

Nel corso del procedimento, non è stata, invero, fornita alcuna evidenza in ordine allo svolgimento di specifiche sessioni formative dedicate ai canali “porta a porta”, “shop”, “negozi WindTre” e “full web”.
La mancata assunzione degli obblighi appena menzionati determina, a carico della Società, la violazione dell’art. 5 par. 2, dell’art. 24 e dell’art. 28 del Regolamento.

4.4. La violazione del principio di limitazione della conservazione.

Nell’ambito dell’istruttoria, sono stati riscontrati ulteriori profili di violazione concernenti i tempi di conservazione dei dati personali della clientela.

In particolare, sul punto, è stato accertato che Acea Energia S.p.A. non ha definito tempistiche specifiche, in ordine alla conservazione dei dati degli interessati, rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta, applicando agli stessi il termine di conservazione decennale genericamente previsto per i trattamenti dei dati della clientela (v. all. 3 del verbale del 9 gennaio 2024).

Al riguardo, merita invero evidenziare che l’art. 5, par. 1, lett. e) del Regolamento prevede che i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato, per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento.

Il principio di conservazione, infatti, impone al titolare l’onere di valutare la durata del trattamento, in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta; ciò al fine di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. cons. 39 del Regolamento).

Trattasi dell’obbligo del titolare di garantire una “corretta” durata del trattamento che, in caso contrario, potrebbe protrarsi oltre il raggiungimento delle specifiche finalità dello stesso con impatto sui principi di liceità, correttezza e trasparenza (art. 5 del Regolamento).

In merito, con particolare riferimento ai dati personali degli interessati rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta, non sono state specificatamente indicate dalla Società le ragioni connesse all’applicazione, a tali trattamenti, del termine decennale previsto per la conservazione dei dati della clientela rispetto alla diversa finalità di gestione del contratto.

Inoltre, non appare conforme al Regolamento neanche la misura che la Società ha intenzione di introdurre entro il 31 dicembre 2025 (v. par. 3, terza alinea della presente decisione). Misura che prevede un termine di 6 mesi, a decorrere dal quale i dati saranno resi inaccessibili a tutte le funzioni interne alla Società, con eccezione dei soli amministratori di sistema; ciò per consentire a questi ultimi, a fronte di un’eventuale richiesta di accesso da parte di Autorità Pubbliche, “di recuperare i detti dati (..) per trattare gli stessi (in ogni caso nel lasso temporale di 10 anni) al solo fine di soddisfare la detta richiesta” (v. nota integrativa del 6 giugno 2025, pag. 10).

Tale previsione, che peraltro non reca neanche la chiara indicazione del relativo dies a quo, non consente, infatti, di individuare uno specifico termine di conservazione rispetto alla fattispecie in esame, cui continuerebbe comunque di fatto ad applicarsi il termine decennale di carattere generale; ciò considerato che i dati –stante quanto sopra stabilito dalla Società– permangono comunque nei sistemi di Acea Energia S.p.A.

Per tutte le ragioni sopra espresse, si rileva a carico di Acea Energia S.p.A. la violazione dell’art. 5, par. 1, lett. e), del Regolamento.

Nel corso degli accessi effettuati in loco, è altresì emerso che i dati personali dei clienti, il cui contratto è cessato a seguito di reclamo per attivazione non richiesta, sono risultati presenti nel CRM di Acea Energia S.p.A., senza l’introduzione di alcuna misura volta a garantire la limitazione del relativo trattamento al fine di distinguerli da quelli oggetto delle attività di ordinaria gestione della clientela (art. 5, par. 1, lett. b) e par. 2; art. 24 del Regolamento). Circostanza peraltro confermata dalla stessa Società (v. verbale del 9 gennaio 2024, pag. 5).

Acea Energia S.p.A. infatti non ha fornito evidenze, in ordine all’implementazione di un sistema idoneo a prevedere, a seguito di accoglimento di un reclamo per contratto non richiesto (ovvero nel caso di interruzione della procedura di contrattualizzazione a seguito dell’esito negativo dei controlli posti in essere dalla Società), la tempestiva limitazione di ogni ulteriore e diversa attività di trattamento dei dati dei clienti.

Tutto ciò, al fine di sospendere in via precauzionale eventuali trattamenti illeciti dei predetti dati (ad es. l’accesso da parte di personale interno o esterno abilitato ad operare sul CRM per finalità di ordinaria gestione della clientela), come peraltro già prescritto dal Garante nei sopra citati provvedimenti dell’11 dicembre 2019, del 28 settembre 2023 e del 17 luglio 2024.

Il titolare è, infatti, tenuto ad assicurare un’effettiva segregazione dei dati personali, rispetto alle anagrafiche di clienti ed ex clienti, conservando le predette informazioni in un’area separata del CRM ‒ protetta da opportune misure tecniche ‒ alla quale non sia possibile accedere con le credenziali da operatore di CRM, customer care o commerciale.

In merito, con specifico riguardo alle modalità di segregazione proposte dalla Società a seguito della notifica della violazione (v. supra, par. 3, quarta alinea, della presente decisione), si osserva che le stesse non appaiono idonee a conformare le attività di trattamento in questione al Regolamento.

Si fa in particolar modo riferimento alle informazioni degli interessati rispetto ai quali è stato accolto un reclamo per attivazione non richiesta e che, in base a quanto rappresentato da Acea Energia S.p.A., rimangono per 6 mesi disponibili a sistema e successivamente, sono “pseudonimizzati su tutti i sistemi in uso presso la Società e, conseguentemente, resi inaccessibili da parte delle funzioni interne della stessa”, con eccezione dei soli amministratori di sistema in caso di richieste di accesso provenienti da Autorità pubbliche (v. nota integrativa del 6 giugno 2025, pag. 10).

Al riguardo, merita di contro evidenziare che il titolare, con riferimento a tali informazioni −inerenti ad interessati i cui dati erano stati illecitamente trattati ab origine dall’agente− è tenuto ad assicurare un’effettiva segregazione logica e fisica (i dati, ovvero, devono essere immediatamente contrassegnati e trasferiti in un’apposita area separata nei sistemi del titolare).

Nel caso in esame, invece, le predette informazioni rimangono archiviate nel CRM non distinte da quelle degli altri clienti, restando ivi disponibili per la durata di dieci anni.

Il tutto peraltro mediante l’applicazione di una misura definita di “pseudonimizzazione” le cui caratteristiche tecniche, rispetto allo specifico profilo in esame, non sono state adeguatamente dettagliate dalla Società (v. nota integrativa del 6 giugno 2025, pagg. 10-11).

Dall’esame della documentazione acquisita è stato in particolare constatato che, dal 1° gennaio 2021 alla data del 31 dicembre 2023, il numero di interessati rispetto ai quali non sono state previste le predette misure di segregazione dei relativi dati personali è stato di 1231 (v. nota della Società 31 gennaio 2025, pag. 2).

Sul punto, non appare verosimile quanto sostenuto dal titolare al fine di diminuire sostanzialmente la quantificazione del numero di clienti coinvolti dalla violazione oggetto di contestazione (v. supra, par. 3, quinta alinea, del presente provvedimento), ossia che il dato di 1231 interessati include anche i contratti che sono stati annullati, prima dell’attivazione della fornitura, nonché i casi in cui un cliente abbia presentato più reclami o reiterato più volte il medesimo reclamo.

Si osserva in merito che, con riferimento ai contratti annullati prima dell’attivazione della fornitura, si tratta ad ogni modo di situazioni di anomalia nella fase di acquisizione della volontà del cliente e, di conseguenza, riconducibili a trattamenti illeciti dei dati personali di questi ultimi.

Riguardo invece alla possibilità che il medesimo cliente possa aver presentato distinti reclami, merita evidenziare che gli stessi si riferiscono a proposte contrattuali differenti, rispetto alle quali sono rilevabili diverse attività di illecito trattamento dei dati del predetto interessato.

Da ultimo, quanto alla circostanza che nell’ambito del dato sopra citato siano state considerate, quali ipotesi distinte, anche le eventuali reiterazioni dello stesso reclamo già pervenuto alla Società, si rileva che non appare verosimile che Acea Energia S.p.A. abbia conteggiato nei propri sistemi, per tale ragione, più volte il medesimo reclamo.

Si evidenza comunque, in via risolutiva, che le predette affermazioni non sono state in alcun modo comprovate da adeguata allegazione documentale.

Di contro, è necessario sottolineare che il numero di clienti sopra indicato si riferisce esclusivamente a quelli che hanno presentato uno specifico reclamo alla Società e che, pertanto, lo stesso è solo indicativo della dimensione, verosimilmente ben maggiore, dell’incidenza del fenomeno delle attivazioni non richieste in seno ad Acea Energia S.p.A.

Si osserva, altresì, che la Società non ha provveduto ad adottare una misura volta a prevedere, all’atto dell’accoglimento del reclamo per attivazione non richiesta, la revoca automatica a sistema dei c.d. “consensi privacy” eventualmente prestati dall’interessato in sede di sottoscrizione del contratto (v. supra, par. 2.2 della presente decisione).

Per tutte le ragioni di cui sopra, ne consegue la violazione, da parte di Acea Energia S.p.A., delle disposizioni di cui all’art. 5, par. 1, lett. b) e par. 2 e all’art. 24 del Regolamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Acea Energia S.p.A., nell’ambito delle attività di contrattualizzazione dei clienti per il tramite dei canali “porta a porta”, “shop”, “negozi WindTre” e “full web”, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; art. 13; art. 24; art. 28 e all’art. 32 del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Acea Energia S.p.A., nel corso del procedimento, ha provveduto ad adottare alcune prime misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al Regolamento come dettagliatamente riportate nella presente decisione (v. supra, par. par. 3.2.).

Si prende atto, altresì, della circostanza che la Società non ha rinnovato l’accordo di partnership con WindTre S.p.A., in ordine all’offerta “WindTre luce & gas powered by Acea Energia” e che pertanto la stessa ha cessato i suoi effetti il 31 dicembre 2025 (v. supra, par. 3, seconda alinea, del presente provvedimento).

Si tiene conto, infine, delle dichiarazioni rese da Acea Energia S.p.A., nell’ambito delle memorie difensive, in ordine alla prossima adozione delle misure indicate al par. 3.1. della presente decisione.

Considerato, pertanto, quanto sopra indicato e ferme restando le summenzionate azioni già avviate dalla Società, si ritiene ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento, ingiungere allo stesso, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, anche le seguenti misure correttive:

a) in merito alle sopra menzionate misure in corso di adozione da parte della Società (v. par. 3.1. della presente decisione), dare conferma della loro definitiva implementazione, fornendo al riguardo un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice;

b) prevedere −ai fini della verifica dell’esattezza dei dati personali contenuti nei contratti procacciati dalle agenzie− un sistema di rilevamento del caricamento nel CRM, da parte degli agenti, di numerazioni telefoniche, indirizzi e-mail e indirizzi IP ricorrenti, con riferimento alle ipotesi di sottoscrizione del contratto con modalità cartacea;

c) in ordine ai canali porta a porta, “shop” e “full web”, introdurre sistemi di alert automatici idonei a segnalare anomalie procedurali (quali, ad esempio, la difformità fra l’indirizzo di fornitura e quello di contatto del cliente; l’esito di mancata ricezione della “Comunicazione di benvenuto” trasmessa via posta ordinaria all’indirizzo della fornitura; l’anomalo numero di instant call, con esito irreperibile; il caricamento a sistema di proposte di contratto multiple a nome di un medesimo soggetto; ecc.);

d) rispetto ai canali “shop” e “full web”, introdurre la misura dell’istant call già prevista per il canale porta a porta o altri strumenti idonei a confermare la volontà contrattuale del cliente espressa per il tramite dell’OTP;

e) individuare specifiche tempistiche di conservazione dei dati della clientela, rispetto alla quale sia stato accolto un reclamo per attivazione non richiesta; ciò in linea con il principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del Regolamento;

f) con riguardo al canale “shop”, prevedere verifiche e/o approfondimenti (ad esempio mediante un’attività di caring) sull’esattezza dei dati personali acquisiti con riferimento agli altri contratti stipulati dal medesimo agente rispetto al quale siano state evidenziate irregolarità; ciò a prescindere dalla avvenuta presentazione di un reclamo da parte degli interessati;

g) implementare un sistema che preveda la tempestiva limitazione di ogni ulteriore attività di trattamento dei dati personali dei clienti rispetto ai quali sia stato accolto un reclamo per attivazione non richiesta ovvero nei confronti dei quali appaia opportuno, all’esito delle diverse verifiche preventive sopra descritte, interrompere, in via precauzionale, la procedura di contrattualizzazione; ciò adottando misure adeguate a garantire l’immediata segregazione dei suddetti dati rispetto a quelli trattati nell’ambito delle attività di ordinaria gestione della clientela. Tale misura richiede che l’oscuramento dei dati e la segregazione degli stessi avvenga immediatamente e non, come previsto dalla Società, a seguito del decorso di 6 mesi, e che la segregazione non sia solo logica ma anche fisica (i dati, ovvero, devono essere immediatamente contrassegnati e trasferiti in un’apposita area separata all’interno dei sistemi del titolare).

Da ultimo, con riferimento ai dati personali inerenti ai 1231 clienti, come individuati al par. 4.4. della presente decisione, si dispone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione definitiva di ogni ulteriore attività di trattamento degli stessi, diversa da quella inerente alla sopra menzionata segregazione delle predette informazioni.

La suddetta prescrizione si rende necessaria anche in relazione ai dati personali dei clienti contenuti nelle eventuali ulteriori proposte contrattuali, acquisite tramite i canali “porta a porta”, “shop”, “negozi WindTre” e “full web”, nel periodo ricompreso tra il 31 dicembre 2023 e la data di notifica della presente decisione, rispetto alle quali sia stato nel frattempo presentato un reclamo per attivazione non richiesta e lo stesso sia stato accolto con conseguenziale cessazione del relativo contratto.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Acea Energia S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5 del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la rilevante gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura (concernente l’inosservanza dei principi del trattamento di cui all’art. 5 del Regolamento), alle modalità (la pluralità di condotte illecite ripetute nel tempo) e alla durata della stessa (circa tre anni). Si considerano altresì rilevanti, a tal fine, le caratteristiche del trattamento, in termini di finalità e ampia portata dello stesso, nonché l’elevato numero di interessati coinvolti e la tipologia di danno da questi subito. Tutto ciò, ravvisato che: le operazioni oggetto di contestazione sono state poste in essere al fine di concludere contratti di somministrazione di energia e gas nel libero mercato, attività economica che rientra nel core business del titolare; le condotte illecite accertate hanno riguardato 1231 interessati; le criticità riscontrate in materia di protezione dei dati fanno riferimento ai processi e alle politiche implementate dal titolare per lo svolgimento delle operazioni di contrattualizzazione dei clienti, tramite i canali “porta a porta”, “shop”, “negozi WindTre” e “full web”, evidenziando carenze e inadeguatezze, di carattere sistemico, dei predetti processi e non potendo essere pertanto riferite a episodi occasionali di disallineamento degli stessi; le violazioni accertate hanno determinato, a carico dei potenziali clienti sopra indicati, oltre a pregiudizi direttamente connessi al furto d’identità da questi subito, anche la conclusione, a loro insaputa, di contratti non richiesti nel mercato libero dell’energia, con conseguente necessità, per gli stessi, di farsi carico dei relativi oneri amministrativi connessi all’instaurazione delle azioni (giudiziarie e/o amministrative) previste in tali casi a tutela del consumatore;

il comportamento significativamente negligente e il rilevante grado di responsabilità del titolare in ordine alle misure tecniche e organizzative messe in atto (art. 83, par. 2, lett. b) e lett. d) del Regolamento); ciò, con specifico riferimento all’inadeguatezza delle politiche di protezione dei dati attuate da Acea Energia S.p.A., nel settore oggetto di attenzione, come riportato nel dettaglio nella presente decisione, nonché alla luce delle indicazioni già da tempo fornite dal Garante, in ordine alle modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, deve implementare, all’atto dell’acquisizione di nuovi clienti, per conformarsi al Regolamento (v. provvedimenti dell’11 dicembre 2019, del 28 settembre 2023, del 12 ottobre 2023 e del 17 luglio 2024, cit.);

il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento relativamente allo stesso oggetto (art. 83, par. 2, lettere e) ed i) del Regolamento). Sul punto si osserva che non è stato tenuto in considerazione a tal fine, il provvedimento n. 228, del 10 aprile 2025 (doc. web n. 10127930), adottato nei confronti di Acea Energia S.p.A. e relativo a violazioni inerenti all’attività di teleselling effettuata per il tramite di alcune specifiche agenzie; ciò in ragione della contestualità degli accertamenti inerenti alla presente decisione con quelli che hanno condotto all’adozione del citato provvedimento n. 228, del 10 aprile 2025;

l’adozione, da parte del titolare, di alcune misure, atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c), del Regolamento). Al riguardo va positivamente considerata la circostanza che Acea Energia S.p.A. abbia spontaneamente adottato, una volta avuta contezza delle violazioni, alcune prime misure per attenuare gli effetti dell’illecito trattamento; misure che, per quanto solo parzialmente idonee a ridurre i rischi, possono essere comunque ritenute ragionevoli;

la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento).

Da ultimo si osserva che non può essere tenuta in considerazione, nel procedimento oggetto della presente decisione, quale elemento di valutazione della sanzione pecuniaria da applicare ai sensi dell’art. 83, par. 2 del Regolamento, l’avvenuta adesione, da parte della Società, al “Codice di condotta per le attività di telemarketing e teleselling”, relativo ad attività di trattamento effettuate “per promuovere e/o offrire beni o servizi, tramite il canale telefonico” (v. Codice di condotta per le attività di telemarketing e teleselling, approvato dall’Autorità ai sensi dell’art. 40 del Regolamento, con provvedimento del 7 marzo 2024).

Tutto ciò in ragione della circostanza che il predetto Codice di condotta contribuisce alla corretta applicazione del Regolamento in ambiti diversi da quelli oggetto della presente decisione, in quanto riferito ad attività di trattamento dei dati personali effettuati per promuovere e/o offrire beni o servizi, tramite il canale telefonico.

Si ritiene, inoltre, che assumano rilevanza, nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2023 (ultimo disponibile).

Al riguardo si rappresenta che, in ragione della natura dei trattamenti oggetto di reclamo, è stato preso in considerazione a tal fine esclusivamente il volume dei ricavi inerenti alla vendita di energia elettrica e gas nel mercato libero.

Da ultimo, si tiene conto dei costi che la Società è tenuta ad affrontare per adempiere alle prescrizioni di cui al paragrafo 5 della predetta decisione.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Acea Energia S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 2.000.000,00 (duemilioni/00).

In tale quadro, si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò, in considerazione della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di liceità, correttezza, trasparenza, esattezza ed accountability.

Si tiene conto, altresì, a tal fine del rilevante pregiudizio subito dagli interessati a seguito della conclusione di contratti non richiesti nel mercato libero dell’energia con conseguente necessità per gli stessi di farsi carico di tutti gli oneri amministrativi anche connessi all’instaurazione delle azioni giudiziarie e/o amministrative previste in tali casi a propria tutela.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Acea Energia S.p.A., con sede in Roma, p. iva n. 07305361003 nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a), b), d), e) ed f), e par. 2; art. 13; art. 24; art. 28 e all’art. 32 del Regolamento;

b) ai sensi dell'art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro tre mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 5, lett. a) della presente decisione, richiedendo al contempo alla stessa di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro nove mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 5, lettere da b) a g) della presente decisione, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;

d) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, dispone, nei confronti di Acea Energia S.p.A., la limitazione definitiva di ogni ulteriore attività di trattamento dei dati dei clienti come individuati al par. 5 della presente decisione e nei termini ivi previsti;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Acea Energia S.p.A., di pagare la somma di euro 2.000.000,00 (duemilioni/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

quindi a Acea Energia S.p.A. di pagare la predetta somma di euro 2.000.000,00 (duemilioni/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori